(buíochas le Sergey G. Brester as an smaoineamh teidil )
A chomhghleacaithe, is é cuspóir an ailt seo ná an taithí a bhaineann le hoibriú tástála bliana d'aicme nua de réitigh IDS bunaithe ar theicneolaíochtaí Meabhlaireachta a roinnt.
D'fhonn comhleanúnachas loighciúil chur i láthair an ábhair a choinneáil, measaim gur gá tosú leis an áitreabh. Mar sin, an fhadhb:
- Is iad ionsaithe spriocdhírithe an cineál ionsaithe is contúirtí, in ainneoin go bhfuil a sciar i líon iomlán na mbagairtí beag.
- Níl aon mhodh ráthaithe éifeachtach chun an t-imlíne a chosaint (nó sraith modhanna den sórt sin) ceaptha fós.
- De ghnáth, tarlaíonn ionsaithe spriocdhírithe i roinnt céimeanna. Níl ann chun an imlíne a shárú ach ceann amháin de na céimeanna tosaigh, nach ndéanann (is féidir leat clocha a chaitheamh orm) mórán damáiste don “íospartach”, ach amháin, ar ndóigh, gur ionsaí DEoS (Scriosadh seirbhíse) é (cripteoirí, etc. .). Tosaíonn an fíor “phian” níos déanaí, nuair a thosaíonn na sócmhainní a gabhadh a úsáid le haghaidh pivoting agus a fhorbairt ionsaí “doimhneacht”, agus níor thugamar faoi deara é seo.
- Ós rud é go dtosaíonn muid ag fulaingt caillteanais iarbhír nuair a shroicheann ionsaitheoirí spriocanna an ionsaithe ar deireadh (freastalaithe iarratais, DBMS, stórais sonraí, stórtha, eilimintí ríthábhachtacha bonneagair), tá sé loighciúil gurb é ceann de thascanna na seirbhíse slándála faisnéise ná cur isteach ar ionsaithe roimhe seo. an ócáid bhrónach seo. Ach d'fhonn cur isteach ar rud éigin, ní mór duit a fháil amach ar dtús. Agus an túisce, is amhlaidh is fearr.
- Dá réir sin, le haghaidh bainistíocht riosca rathúil (is é sin, damáiste ó ionsaithe spriocdhírithe a laghdú), tá sé ríthábhachtach uirlisí a bheith ann a sholáthróidh TTD íosta (am a bhrath - an t-am ón nóiméad cur isteach go dtí an nóiméad a bhraitear an t-ionsaí). Ag brath ar an tionscal agus ar an réigiún, is ionann an tréimhse seo agus 99 lá ar an meán i SAM, 106 lá i réigiún EMEA, 172 lá i réigiún APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Cad a thairgeann an margadh?
- "Boscaí gainimh". Rialú coisctheach eile, atá i bhfad ó idéalach. Tá go leor teicnící éifeachtacha ann chun boscaí gainimh nó réitigh bánliostaithe a bhrath agus a sheachaint. Tá na guys ón “taobh dorcha” fós céim amháin chun tosaigh anseo.
- Is féidir le UEBA (córais chun iompar a phróifíliú agus diallais a aithint) - go teoiriciúil, a bheith an-éifeachtach. Ach, i mo thuairim, tá sé seo am éigin sa todhchaí i bhfad i gcéin. Go praiticiúil, tá sé seo fós an-chostasach, neamhiontaofa agus éilíonn sé bonneagar TF agus slándála faisnéise an-aibí agus cobhsaí, a bhfuil na huirlisí go léir aige cheana féin a ghinfidh sonraí le haghaidh anailíse iompraíochta.
- Is uirlis mhaith é SIEM le haghaidh imscrúduithe, ach níl sé in ann rud éigin nua agus bunaidh a fheiceáil agus a thaispeáint ar bhealach tráthúil, toisc go bhfuil na rialacha comhghaoil mar an gcéanna le sínithe.
- Mar thoradh air sin, tá gá le huirlis a dhéanfadh:
- d'oibrigh go rathúil i gcoinníollacha imlíne atá i gcontúirt cheana féin,
- braitheadh ionsaithe rathúla beagnach i bhfíor-am, beag beann ar na huirlisí agus na leochaileachtaí a úsáideadh,
- nach raibh sé ag brath ar shínithe/rialacha/scripteanna/polasaithe/próifílí agus rudaí statacha eile,
- nár theastaigh méideanna móra sonraí agus a bhfoinsí le haghaidh anailíse,
- a cheadódh ionsaithe a shainmhíniú ní mar chineál éigin scórála riosca mar thoradh ar obair “na daoine is fearr ar domhan, matamaitic phaitinnithe agus dá bhrí sin dúnta”, a éilíonn imscrúdú breise, ach go praiticiúil mar imeacht dhénártha - “Sea, táimid á ionsaí” nó “Ní hea, tá gach rud ceart go leor”,
- uilíoch, inscálaithe go héifeachtúil agus indéanta le cur i bhfeidhm in aon timpeallacht ilchineálach, beag beann ar an topology líonra fisiciúil agus loighciúil a úsáideadh.
Tá réitigh mheabhlaireachta, mar a thugtar orthu, ag iarraidh ról uirlis dá leithéid anois. Is é sin, réitigh atá bunaithe ar an gcoincheap maith d'aois de photaí meala, ach le leibhéal cur chun feidhme go hiomlán difriúil. Is cinnte go bhfuil an t-ábhar seo ag méadú anois.
De réir na dtorthaí Áirítear réitigh mheabhlaireachta sna 3 straitéisí agus na huirlisí BARR a mholtar a úsáid.
De réir na tuarascála Tá an mheabhlaireacht ar cheann de na príomhthreoracha forbartha ar réitigh IDS Intrusion Detection Systems).
Cuid iomlán den dara ceann , atá tiomnaithe do SCADA, bunaithe ar shonraí ó cheann de na ceannairí sa mhargadh seo, TrapX Security (Iosrael), a bhfuil a réiteach ag obair inár réimse tástála ar feadh bliana.
Ligeann Greille Meabhlaireachta TrapX duit IDS a dháileadh go mór a chostas agus a oibriú go lárnach, gan an t-ualach ceadúnaithe agus na ceanglais maidir le hacmhainní crua-earraí a mhéadú. Go deimhin, is cruthaitheoir é TrapX a ligeann duit meicníocht mhór amháin a chruthú ó ghnéithe den bhonneagar TF atá ann cheana féin chun ionsaithe ar scála uile-fhiontair a bhrath, cineál “aláram” líonra dáilte.
Struchtúr Réitigh
Inár saotharlann déanaimid staidéar agus tástáil leanúnach ar tháirgí nua éagsúla i réimse na slándála TF. Faoi láthair, tá thart ar 50 freastalaithe fíorúla éagsúla á n-imscaradh anseo, lena n-áirítear comhpháirteanna Greille Meabhlaireachta TrapX.
Mar sin, ó bhun go barr:
- Is é TSOC (TrapX Security Operation Console) inchinn an chórais. Is é seo an consól bainistíochta lárnach trína ndéantar cumraíocht, imscaradh an réitigh agus na hoibríochtaí uile ó lá go lá. Ós rud é gur seirbhís gréasáin é seo, is féidir é a imscaradh áit ar bith - ar an imlíne, sa scamall nó ag soláthraí MSSP.
- Is freastalaí fíorúil é TrapX Appliance (TSA) ina nascaimid, ag baint úsáide as an gcalafort trunc, na folíonta sin a theastaíonn uainn a chlúdach le monatóireacht. Chomh maith leis sin, tá ár mbraiteoirí líonra go léir “beo” anseo.
Tá TSA amháin imlonnaithe ag ár saotharlann (mwsapp1), ach i ndáiríre d'fhéadfadh go leor a bheith ann. D’fhéadfadh sé seo a bheith riachtanach i líonraí móra nuair nach bhfuil aon nascacht L2 idir teascáin (sampla tipiciúil é “Sealbhú agus fochuideachtaí” nó “Ceannoifig agus brainsí an Bhainc”) nó má tá deighleoga scoite ag an líonra, mar shampla, córais rialaithe próisis uathoibrithe. I ngach brainse/deighleog den sórt sin, is féidir leat do TSA féin a imscaradh agus é a nascadh le TSOC amháin, áit a ndéanfar an fhaisnéis go léir a phróiseáil go lárnach. Ligeann an ailtireacht seo duit córais mhonatóireachta dáilte a thógáil gan gá an líonra a athstruchtúrú go radacach nó cur isteach ar dheighilt reatha.
Chomh maith leis sin, is féidir linn cóip den trácht amach a chur isteach chuig TSA trí TAP/SPAN. Má aimsímid naisc le botnets aitheanta, freastalaithe ordaithe agus rialaithe, nó seisiúin TOR, gheobhaidh muid an toradh sa chonsól freisin. Tá Braiteoir Faisnéise Líonra (NIS) freagrach as seo. Inár dtimpeallacht, cuirtear an fheidhmiúlacht seo i bhfeidhm ar an mballa dóiteáin, mar sin níor úsáid muid é anseo.
- Gaistí Feidhmchláir (OS Iomlán) – potaí meala traidisiúnta bunaithe ar fhreastalaithe Windows. Níl go leor acu ag teastáil uait, mar is é príomhchuspóir na bhfreastalaithe seo seirbhísí TF a sholáthar don chéad sraith eile braiteoirí nó ionsaithe ar fheidhmchláir ghnó a d'fhéadfaí a imscaradh i dtimpeallacht Windows a bhrath. Tá freastalaí amháin dá leithéid suiteáilte inár saotharlann (FOS01)
- Is iad gaistí aithrise príomh-chomhpháirt an réitigh, rud a ligeann dúinn, ag baint úsáide as meaisín fíorúil amháin, "páirc mianach" an-dlúth a chruthú d'ionsaitheoirí agus an líonra fiontair, a chuid vlan go léir, a sháithiú lenár braiteoirí. Feiceann an t-ionsaitheoir braiteoir den sórt sin, nó óstach phantom, mar fhíor-ríomhaire Windows nó freastalaí, freastalaí Linux nó feiste eile a shocraíonn muid a thaispeáint dó.
Ar mhaithe leis an ngnó agus ar mhaithe le fiosracht, rinneamar “péire de gach créatúr” a imscaradh - ríomhairí pearsanta Windows agus freastalaithe de leaganacha éagsúla, freastalaithe Linux, ATM le Windows leabaithe, SWIFT Web Access, printéir líonra, Cisco lasc, ceamara Axis IP, MacBook, PLC -device agus fiú bolgán solais cliste. Tá 13 óstach san iomlán. Go ginearálta, molann an díoltóir braiteoirí den sórt sin a imscaradh i méid ar a laghad 10% de líon na n-óstach fíor. Is é an barra barr an spás seoltaí atá ar fáil.Is pointe an-tábhachtach é nach meaisín fíorúil iomlán é gach óstach den sórt sin a éilíonn acmhainní agus ceadúnais. Is é seo an decoy, aithrise, próiseas amháin ar an TSA, a bhfuil sraith de paraiméadair agus seoladh IP. Mar sin, le cabhair ó fiú TSA amháin, is féidir linn an líonra a sháithiú leis na céadta óstach phantom den sórt sin, a oibreoidh mar braiteoirí sa chóras aláraim. Is í an teicneolaíocht seo a fhágann gur féidir an coincheap pota meala a scála go héifeachtach ó thaobh costais de thar aon fhiontar mór dáilte.
Ó thaobh ionsaitheora de, tá na hóstach seo tarraingteach mar go bhfuil leochaileachtaí iontu agus is cosúil gur spriocanna sách éasca iad. Feiceann an t-ionsaitheoir seirbhísí ar na hóstach seo agus is féidir leis idirghníomhú leo agus iad a ionsaí ag baint úsáide as uirlisí agus prótacail chaighdeánacha (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Ach tá sé dodhéanta na hóstach seo a úsáid chun ionsaí a fhorbairt nó do chód féin a rith.
- Ligeann meascán an dá theicneolaíocht seo (FullOS agus gaistí aithrise) dúinn dóchúlacht ard staidrimh a bhaint amach go dtiocfaidh ionsaitheoir i dteagmháil le gné éigin dár líonra comharthaíochta luath nó mall. Ach conas is féidir linn a chinntiú go bhfuil an dóchúlacht seo gar do 100%?
Téann na comharthaí Meabhlaireachta, mar a thugtar orthu, isteach sa chath. A bhuí leo, is féidir linn ríomhairí pearsanta agus freastalaithe uile an fhiontair atá ann cheana féin a áireamh inár IDS dáilte. Cuirtear comharthaí ar fhíor-ríomhairí pearsanta na n-úsáideoirí. Tá sé tábhachtach a thuiscint nach gníomhairí iad comharthaí a ídíonn acmhainní agus gur féidir leo coinbhleachtaí a chruthú. Is eilimintí faisnéise éighníomhacha iad comharthaí, ar chineál “brimeanna aráin” don taobh ionsaithe é a chuireann isteach i ngaiste é. Mar shampla, tiomántáin líonra mapáilte, leabharmharcanna chuig riarthóirí gréasáin falsa sa bhrabhsálaí agus pasfhocail a shábháil dóibh, seisiúin ssh/rdp/winscp sábháilte, ár gaistí le tráchtanna i gcomhaid óstaigh, pasfhocail a shábháiltear sa chuimhne, dintiúir úsáideoirí nach bhfuil ann, oifig comhaid, oscailt a spreagfaidh an córas, agus i bhfad níos mó. Mar sin, cuirimid an t-ionsaitheoir i dtimpeallacht shaobhadh, sáithithe le veicteoirí ionsaithe nach bagairt dúinn i ndáiríre, ach a mhalairt. Agus níl aon bhealach aige a chinneadh i gcás ina bhfuil an fhaisnéis fíor agus i gcás ina bhfuil sé bréagach. Mar sin, ní hamháin go n-áirithímid go n-aimsítear ionsaí go tapa, ach déanaimid moilliú suntasach freisin ar a dhul chun cinn.
Sampla de ghaiste líonra a chruthú agus comharthaí a shocrú. Comhéadan cairdiúil agus gan aon eagarthóireacht láimhe ar chumraíochtaí, scripteanna, etc.
Inár dtimpeallacht, rinneamar roinnt comharthaí den sórt sin a chumrú agus a chur ar FOS01 ag rith Windows Server 2012R2 agus ríomhaire tástála ag rith Windows 7. Tá RDP ag rith ar na meaisíní seo agus déanaimid “hang” orthu go tréimhsiúil sa DMZ, áit a bhfuil roinnt dár braiteoirí (gaistí aithrise) ar taispeáint freisin. Mar sin faigheann muid sruth leanúnach teagmhas, go nádúrtha mar a déarfá.
Mar sin, seo roinnt staitisticí tapa don bhliain:
56 – teagmhais a taifeadadh,
2 – braitheadh óstaigh foinse ionsaithe.
Léarscáil ionsaí idirghníomhach, inchliceáilte
Ag an am céanna, ní ghineann an réiteach cineál éigin mega-logála nó beatha imeachta, rud a thógann ar feadh i bhfad é a thuiscint. Ina áit sin, déanann an réiteach féin imeachtaí a rangú de réir a gcineálacha agus ligeann don fhoireann slándála faisnéise díriú go príomha ar na cinn is contúirtí - nuair a dhéanann an t-ionsaitheoir iarracht seisiúin rialaithe (idirghníomhaíocht) a ardú nó nuair a bhíonn ualaí dénártha (ionfhabhtú) le feiceáil inár dtrácht.
Tá an fhaisnéis go léir faoi imeachtaí inléite agus curtha i láthair, i mo thuairim, i bhfoirm atá éasca le tuiscint fiú d'úsáideoir a bhfuil eolas bunúsach aige i réimse na slándála faisnéise.
Iarrachtaí chun ár n-óstach nó naisc aonair a scanadh is ea formhór na dteagmhas taifeadta.
Nó iarrachtaí chun pasfhocail brúidiúla don RDP
Ach bhí cásanna níos suimiúla ann freisin, go háirithe nuair a d'éirigh le hionsaitheoirí an focal faire don RDP a thomhas agus rochtain a fháil ar an líonra áitiúil.
Déanann ionsaitheoir iarracht cód a fhorghníomhú ag baint úsáide as psexec.
Fuair an t-ionsaitheoir seisiún sábháilte, rud a thug isteach i gaiste é i bhfoirm freastalaí Linux. Díreach tar éis nascadh, le sraith orduithe réamhullmhaithe amháin, rinne sé iarracht gach comhad logála agus athróg córais chomhfhreagrach a scriosadh.
Déanann ionsaitheoir iarracht instealladh SQL a dhéanamh ar phota meala a dhéanann aithris ar SWIFT Web Access.
Chomh maith le hionsaithe “nádúrtha” den sórt sin, rinneamar roinnt tástálacha féin freisin. Is é ceann de na cinn is nochtadh ná tástáil a dhéanamh ar am braite péist líonra ar líonra. Chun seo a dhéanamh d'úsáideamar uirlis ó GuardiCore ar a dtugtar . Is péist líonra é seo atá in ann Windows agus Linux a fhuadach, ach gan aon “pálasta”.
Rinneamar ionad ordaithe áitiúil a imscaradh, sheolamar an chéad ásc den worm ar cheann de na meaisíní, agus fuair muid an chéad foláireamh sa chonsól TrapX i níos lú ná nóiméad go leith. TTD 90 soicind in aghaidh 106 lá ar an meán...
A bhuí leis an gcumas comhtháthú le haicmí réitigh eile, is féidir linn bogadh ó bhagairtí a bhrath go tapa go freagairt orthu go huathoibríoch.
Mar shampla, ligfidh comhtháthú le córais NAC (Rialú Rochtana Líonra) nó le CarbonBlack duit ríomhairí pearsanta atá i mbaol a dhínascadh go huathoibríoch ón líonra.
Ligeann comhtháthú le boscaí gainimh comhaid a bhaineann le hionsaí a chur isteach go huathoibríoch le haghaidh anailíse.
Comhtháthú McAfee
Tá a chóras comhghaol imeachta ionsuite féin ag an réiteach freisin.
Ach ní raibh muid sásta lena chumais, mar sin rinneamar é a chomhtháthú le HP ArcSight.
Cuidíonn an córas ticéadaithe ionsuite leis an domhan ar fad dul i ngleic le bagairtí braite.
Ós rud é gur forbraíodh an réiteach “ón tús” do riachtanais ghníomhaireachtaí rialtais agus deighleog mhór chorparáideach, cuireann sé i bhfeidhm go nádúrtha samhail rochtana ról-bhunaithe, comhtháthú le AD, córas forbartha tuairiscí agus truicear (foláirimh imeachtaí), ionstraimíocht do struchtúir gabháltais mhóra nó soláthraithe MSSP.
In ionad atosú
Má tá córas monatóireachta den sórt sin ann, a chlúdaíonn, go figiúrach, ár gcúl, ansin le comhréiteach an imlíne tá gach rud díreach ag tosú. Is é an rud is tábhachtaí ná go bhfuil fíordheis ann déileáil le teagmhais slándála faisnéise, agus gan déileáil lena n-iarmhairtí.
Foinse: will.com